Auparavant, la protection de la vie privée était un processus simple se résumant à cocher les bonnes cases, puisqu'il suffisait en général de publier un formulaire de consentement et une politique de confidentialité appropriés sur un site Internet, mais ce monde est révolu. Nous sommes actuellement les témoins d'une véritable explosion à l'échelle mondiale des lois régissant les données. Avec un risque de chevauchement, voire de conflits entre les différentes lois, alors que les flux de données gagnent en complexité, les organisations sont maintenant contraintes de composer avec les lois sur la protection de la vie privée de différents territoires et de différents paliers de gouvernement, sans oublier les règles et les lignes directrices propres à chaque industrie, qui s'accompagnent d'amendes de plus en plus lourdes en cas de non-conformité. Rester informé des évolutions dans ce milieu vous permettra d'éviter les sables mouvants sans pour autant renoncer à utiliser des données pour des fins d'affaires légitimes. Les pages qui suivent présentent un résumé des modifications prévues touchant la législation relative à la protection des renseignements personnels, les transferts transfrontaliers des données et les exigences applicables aux données sensibles comme les données biométriques et les décisions automatisées.

À QUOI S'ATTENDRE AU CANADA?

Québec : Adopté en septembre 2021, le projet de loi no 64 du Québec va révolutionner le paysage canadien de la protection de la vie privée avec une loi fondamentalement nouvelle inspirée du RGPD prévoyant, en cas de non-conformité, de lourdes pénalités pouvant représenter jusqu'à 8 % du chiffre d'affaires mondial pour les contrevenants récidivistes. Le projet de loi no 64 introduit des obligations uniques de déclaration des incidents de cybersécurité, y compris celles d'aviser les individus si un incident de confidentialité pose un « risque de préjudice sérieux » et de prendre les mesures raisonnables pour réduire le risque de préjudice et prévenir les nouveaux incidents. Aux termes des nouvelles normes en matière de transparence et de consentement, le consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques, ce qui constitue une norme plus exigeante que celle imposée par la loi fédérale actuelle sur la protection des renseignements personnels au Canada, la LPRPDE. Les exigences opérationnelles pour les transferts transfrontaliers de renseignements personnels du projet de loi no 64 imposent aux entreprises l'obligation de réaliser des évaluations de certains facteurs relatifs à la vie privée avant de communiquer des renseignements personnels à l'extérieur du Québec. Les dispositions sur la protection des données par défaut et sur la protection des données dès la conception exigeront un changement radical de mentalité lors de l'acquisition de technologies et de la mise au point de nouveaux programmes. Les nouveaux droits des utilisateurs exigeront l'adoption de nouvelles approches en matière de conformité. Le projet de loi no 64 commencera à prendre effet en septembre 2022, tandis que les pénalités et la plupart des principales dispositions entreront en vigueur en septembre 2023.

Fédéral : Proposé en 2020 et susceptible d'être remis à l'ordre du jour sous une forme similaire au cours de la prochaine année, le projet de loi C-11 abrogerait la LPRPDE et édicterait à sa place la Loi sur la protection de la vie privée des consommateurs (« LPVPC ») et la Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD »). La LPVPC vise à instaurer de nouvelles exigences applicables à la protection des données au Canada et s'appliquerait aux renseignements personnels collectés au Canada. Le projet de loi C-11 qui, de l'avis du Commissaire à la protection de la vie privée du Canada, constitue un « recul », s'il est déposé de nouveau et adopté sous une forme similaire, modifierait sensiblement le paysage canadien de la protection de la vie privée, car il assortirait les principales obligations d'amendes conséquentes pouvant aller jusqu'à 5 % des recettes globales brutes de l'organisation.

Ontario : Publié en juin 2021, le livre blanc Modernisation de la protection de la vie privée en Ontario propose des changements importants pour instaurer un nouveau régime législatif provincial en matière de protection des renseignements personnels. De manière générale, les propositions présentées dans le livre blanc suggèrent la mise en Suvre d'exigences plus strictes et moins souples que celles figurant dans la LPVPC. Bien que la rumeur veut qu'il ait été mis en veilleuse pendant que le gouvernement provincial se penche sur d'autres priorités, le modèle décrit dans le livre blanc Modernisation de la protection de la vie privée en Ontario, s'il est déposé et adopté, instaurerait des droits, des mesures d'application et des pénalités inspirés du RGPD, y compris à l'égard des renseignements personnels des employés, qui tombent à l'heure actuelle dans une zone grise pour la plupart des entreprises de l'Ontario. Un autre document intéressant est la réponse du Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario au livre blanc Modernisation de la protection de la vie privée en Ontario. Celle-ci dresse une longue liste de souhaits, notamment celui d'habiliter le CIPVP à créer des outils de soutien à la conformité tels que des services consultatifs, des codes de pratique sectoriels et des programmes de certification, en mettant particulièrement l'accent sur une réglementation « souple » à l'intention des petites et moyennes entreprises. De plus, le CIPVP réclame le pouvoir d'imposer des sanctions administratives prenant en compte « toute mesure réglementaire déjà prise par d'autres territoires de compétence comme facteur atténuant possible, assurant une approche harmonisée, équitable et proportionnée ».

Colombie-Britannique : Cet automne, le projet de loi 22 modifiant la loi intitulée Freedom of Information and Protection of Privacy Act (« FIPPA ») a été présenté et adopté en Colombie-Britannique. Un changement majeur susceptible de toucher les organismes publics de la province est l'élimination de l'obligation de conserver les renseignements personnels et d'autoriser l'accès à ces renseignements uniquement à partir du territoire canadien. Il en résulterait une hausse du nombre de prestataires de services auxquels pourrait avoir accès le gouvernement, car bon nombre de ces fournisseurs n'ont pas de présence physique au Canada. Le projet de loi 22 ouvre la porte à des transferts transfrontaliers de données qui sont régis par règlement et autorisés.

TENDANCES ACTUELLES

Classification de la nature des droits relatifs à la protection de la vie privée : Non seulement certains droits individuels – tels que le droit à l'oubli et le droit à la portabilité des données – sont expressément énumérés dans les textes de lois sur la protection des renseignements personnels, mais il semble que certains projets de loi pourraient reconnaître le caractère fondamental du droit à la vie privée. Par exemple, dans le cadre de la modernisation de ses lois sur la protection des renseignements personnels, le livre blanc de l'Ontario envisage la possibilité de reconnaître un droit fondamental à la protection de la vie privée dans le préambule de la législation provinciale. À l'heure actuelle, le Québec est la seule province reconnaissant un droit au respect de la vie privée, qui est expressément énoncé à l'article 5 de la Charte des droits et libertés de la personne du Québec. Le Commissariat à la protection de la vie privée a critiqué l'absence de préambule axé sur les droits et de clause énonçant l'objet de la loi dans d'autres projets de loi, y compris la LPVPC, mais n'a pas encore vu ses efforts de lobbying porter ses fruits à l'échelle fédérale.

Cette question est soulevée à un moment intéressant, où les tribunaux semblent remettre en question le traitement de la vie privée comme un « droit quasi constitutionnel ». En 2021, la Cour suprême du Canada a décrit « la nature des limites à la vie privée comme étant dans un état de confusion [...] sur le plan théorique » en précisant que « la reconnaissance d'un intérêt important à l'égard de la notion générale de vie privée pourrait s'avérer trop indéterminée et difficile à appliquer ». La Cour a souligné que « [c]ela dépend en grande partie du contexte dans lequel la vie privée est invoquée ». Ces déclarations font suite à d'autres décisions de la Cour suprême rendues au cours de la dernière décennie (Banque Royale du Canada c. Trang, Alberta (Information and Privacy Commissioner) c. Travailleurs et travailleuses unis de l'alimentation et du commerce, section locale 401), dans lesquelles le droit à la vie privée a dû céder le pas devant des intérêts opposés jugés plus convaincants, ce qui montre que l'évaluation contextuelle du droit à la vie privée est l'approche privilégiée par les tribunaux. Compte tenu du vaste éventail des protections des renseignements personnels, qui vont du nom et de l'adresse postale aux renseignements plus intimes et ayant une incidence, et de la probabilité élevée de conflits entre la vie privée et les droits et valeurs fondamentaux, la réticence à traiter la vie privée comme un concept unitaire semble être une approche empreinte de sagesse.

Des pénalités beaucoup plus lourdes : À l'heure actuelle, la LPRPDE permet seulement l'imposition d'amendes maximales de 100 000 $ dans le cas d'une infraction punissable par mise en accusation. Aux termes du projet de loi C-11, les tribunaux pourraient imposer des amendes d'un montant allant jusqu'à 10 millions de dollars ou 4 % des recettes globales brutes de l'organisation, et les contraventions plus graves pourraient donner lieu à des pénalités allant jusqu'à 25 millions de dollars ou 5 % des recettes globales brutes de l'organisation, selon le plus élevé de ces montants. Au Québec, les clauses pénales du projet de loi no 64 sont encore plus sévères, puisque les contrevenants récidivistes sont passibles d'une amende dont le montant peut atteindre 50 millions de dollars ou 8 % des recettes globales brutes, selon le plus élevé de ces montants. Malheureusement, les facteurs servant à déterminer la pénalité en vertu de la loi ne tiennent pas compte de la possibilité que d'autres pénalités fondées sur les mêmes faits soient imposées par d'autres instances, ce qui pourrait conduire à une multiplication des risques pour un incident de confidentialité ayant un caractère transfrontalier et attirant l'attention de plusieurs organismes de réglementation.

Séparation des pouvoirs d'enquête et de décision : Si elle est déposée de nouveau et adoptée sous une forme similaire, la LPVPC accorderait un pouvoir de surveillance accru au commissaire à la protection de la vie privée du Canada par l'intermédiaire de divers pouvoirs, notamment de procéder à des vérifications, de mener des enquêtes et de rendre des ordonnances. La principale différence par rapport aux régimes de protection de la vie privée en vigueur tant au pays qu'à l'étranger serait la mise en place d'un tribunal pour entendre les appels administratifs par suite des décisions rendues par le commissaire à la protection de la vie privée du Canada. Le tribunal aurait également compétence pour imposer des sanctions pécuniaires. Le tribunal constituerait une instance indépendante comparativement aux structures existantes au Canada, car certains soupçonnent les organismes de réglementation d'exercer simultanément les fonctions de « juge, jury et bourreau ». Les complexités de ce régime sont abordées plus en détail sur notre blogue dans l'article intitulé The CPPA's Privacy Law Enforcement Regime. Par contre, au Québec, la CAI prend en charge les questions liées à l'application de la loi en vertu du projet de loi 64 et est habilitée à imposer des amendes allant jusqu'à 2 % du chiffre d'affaires mondial ou 10 millions de dollars. L'organisme a promis d'élaborer et de rendre public un cadre général d'application des sanctions administratives pécuniaires avant l'entrée en vigueur du projet de loi no 64.

COMPLEXITÉ DES QUESTIONS LIÉES AU TRANSFERT TRANSFRONTALIER DE DONNÉES

Décision d'adéquation de l'Union européenne relative au Canada : Aux termes d'une décision adoptée en 2001 par la Commission européenne (récemment réaffirmée en mai 2018), le Canada est considéré comme offrant un niveau adéquat de protection des données personnelles transférées de l'Union européenne (UE) à des destinataires assujettis à la LPRPDE; par contre, en 2014, le Groupe de travail « Article 29 » de l'UE n'a pas recommandé que le Québec reçoive une évaluation favorable quant à son adéquation tant que certaines améliorations ne seraient pas apportées à sa Loi sur le secteur privé. Aux termes du paragraphe 45(4) du RGPD, la Commission doit faire un suivi continue de l'évolution des questions touchant la vie privée au Canada pouvant porter atteinte au fonctionnement de la décision d'adéquation adoptée pour le Canada. Sauf s'il modifie sa législation fédérale sur la protection des renseignements personnels avant le prochain examen (qui est effectué tous les quatre ans, le prochain devant commencer en mai 2020), on s'attend généralement à ce que le Canada ne conserve pas son statut d'adéquation actuel. En l'absence de décision d'adéquation, une évaluation de l'impact du transfert doit être réalisée (voir la version intégrale des recommandations en format PDF).

Approches divergentes : Les exigences du projet de loi no 64 applicables aux transferts transfrontaliers de données contrastent fortement avec l'approche libérale de la LPVPC, qui n'impose aux organisations ni restriction du transfert de renseignements personnels à l'extérieur du Canada ni obligation de réaliser une évaluation des impacts de tels transferts. Aux termes du projet de loi no 64, avant de communiquer des renseignements personnels à l'extérieur du Québec, une organisation doit procéder à une évaluation des facteurs relatifs à la vie privée, puis conclure une entente écrite qui tient compte des résultats de cette évaluation et définit les mesures de protection adéquates compte tenu de la sensibilité des renseignements personnels, des fins auxquelles les renseignements seront utilisés, des mesures de protection et du régime juridique applicable dans le territoire de destination.

BIOMÉTRIE ET PRISE DE DÉCISION AUTOMATISÉE

Prise de décision automatisée : Depuis l'adoption du projet de loi no 64, le Québec est la première province canadienne à instaurer un droit d'être informé d'une décision fondée exclusivement sur un traitement automatisé. Être informé d'une décision fondée exclusivement sur un traitement automatisé comprend le droit d'être informé des principaux facteurs et paramètres, ayant mené à la décision et le droit de présenter des observations à l'égard de la décision ou de s'y opposer. Autrement dit, les entreprises doivent se préparer à expliquer leurs décisions fondées exclusivement sur un traitement automatisé. La LPVPC propose des exigences similaires pour les décisions fondées exclusivement sur un traitement automatisé, y compris l'obligation pour les organisations de fournir une explication générale de leur utilisation des systèmes décisionnels automatisés pour faire des prédictions, des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés.

La proposition faite par l'Ontario dans son livre blanc va un peu plus loin en interdisant les décisions fondées exclusivement sur un traitement automatisé lorsque la décision aurait des effets significatifs pour un individu, sauf si son consentement exprès est obtenu ou si une telle décision est autorisée par la loi ou exigée en vertu d'un contrat. Cette approche est conforme à l'article 22 du RGPD, aux termes duquel (sous réserve de certaines exceptions) la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l'affectant sensiblement de façon similaire. Cette disposition interdit également les décisions fondées sur des « catégories particulières » de données à caractère personnel comme les origines raciales, l'opinion politique et les données biométriques aux fins d'identifier une personne physique de manière unique. Les décisions automatisées sont autorisées dans les cas où la décision est nécessaire à la conclusion ou à l'exécution d'un contrat, est autorisée par le droit de l'Union ou de l'État membre ou est fondée sur le consentement explicite de la personne concernée.

Comment se préparer : Les organisations qui utilisent actuellement ou qui prévoient utiliser des systèmes d'IA pour leurs activités doivent accorder la priorité à trois mesures :

réaliser une évaluation de l'incidence algorithmique en vue de déterminer le niveau d'incidence que pourrait avoir le système décisionnel automatisé et en évaluer les préjudices possibles;

communiquer les décisions du système décisionnel automatisé de façon à assurer qu'un consentement soit donné; et

prévoir un mécanisme d'examen du système décisionnel automatisé par un être humain.

Au Canada, seule la Directive sur la prise de décisions automatisée impose de procéder à une évaluation de l'incidence algorithmique. Malgré sa portée étroite et le fait qu'elle ne s'applique qu'au secteur privé, la Directive est en phase avec la demande croissante dont font l'objet les évaluations des incidences dans un large éventail de contextes.

Biométrie : En phase avec la tendance croissante à l'élargissement des pouvoirs en matière d'application de la loi prévus dans la législation sur la protection de la vie privée, la Loi concernant le cadre juridique des technologies de l'information (la « LCJTI ») du Québec impose un nouveau délai de 60 jours pour déclarer à la CAI la création d'une banque de caractéristiques ou de mesures biométriques avant son déploiement. Un consentement exprès est exigé avant l'utilisation de données biométriques.

Comment se préparer : Ces deux éléments – surveillance et consentement – s'inscrivent dans la continuité de l'approche fondée sur des principes qui est appliquée au Canada et qui, selon toute vraisemblance, continuera de l'être. Si votre organisation envisage d'utiliser des données biométriques, assurez-vous d'élaborer un plan prêt à être appliqué en utilisant comme guide le cycle de vie des données.

STRATÉGIES DE RÉUSSITE

Les lois sur la protection des renseignements personnels sont une priorité pour les assemblées législatives du monde entier. Les organisations doivent être prêtes à s'adapter aux nouvelles lois dans ce domaine adoptées par différents ordres de gouvernement dans les délais serrés prévus par ces textes, au risque d'être condamnées à de lourdes amendes en cas de non-conformité.

Évaluations des facteurs relatifs à la vie privée : Qu'il s'agisse de protection de la vie privée, de transfert ou d'algorithmes, la tendance à imposer une évaluation des facteurs relatifs à la vie privée dans des contextes de plus en plus diversifiés est appelée à se maintenir. Contrairement à la LPRPDE qui n'impose aucune exigence de la sorte, le projet de loi no 64 prévoit l'exécution d'une évaluation des facteurs relatifs à la vie privée au moment du transfert de renseignements personnels à l'extérieur du Québec et de l'acquisition, de la mise au point ou du remaniement d'un système d'information ou de prestation électronique de services prévoyant le traitement de renseignements personnels. La LPVPC introduirait une variation sur le même thème en exigeant la mise en Suvre d'un programme de gestion de la protection des renseignements personnels. Le RGPD impose également une analyse d'impact relative à la protection des données lorsqu'il existe un risque élevé pour les droits et libertés des personnes physiques, notamment lors du recours à de nouvelles technologies ou à la prise de décisions fondées sur le traitement automatisé des renseignements personnels.

Comment se préparer : Veillez à ce que votre organisation dispose de modèles d'évaluation des facteurs relatifs à la vie privée adaptés à vos besoins, en plus des procédures d'exploitation normalisées (PON) qui signalent dans quelles circonstances il faut procéder à une évaluation des facteurs relatifs à la vie privée, obligatoire ou recommandée, aux termes des lois applicables. Soyez conscient du fait que les exigences quant au moment et aux modalités de la réalisation de ces évaluations varient d'un territoire à l'autre.

Anonymisation et minimisation : Aux termes de la LPRPDE et du RGPD, les renseignements dépersonnalisés ne sont pas des « renseignements personnels », parce que ce ne sont pas des renseignements concernant un individu identifiable. Malgré une certaine ambiguïté dans la LPVPC, les modifications proposées touchant la « dépersonnalisation » semblent considérer que tous les renseignements dépersonnalisés sont assujettis à ses dispositions. Cela pourrait mettre en péril l'harmonisation des lois au Canada et nuire à la compétitivité de notre pays. Pour de plus amples renseignements, veuillez consulter notre article : CPPA: Identifying the Inscrutable Meaning and Policy Behind the De-Identifying Provisions.

Comment se préparer : Les approches novatrices de l'anonymisation des données comme la suppression, le brouillage et la généralisation, réduisent le besoin de stocker les renseignements personnels sans nuire à la qualité du traitement analytique. Pour une analyse détaillée, veuillez-vous reporter à la section Utilisations stratégiques de l'anonymisation des données et de la minimisation des données dans le traitement analytique des données ci-dessous.

Connaissez vos données : Le repérage et la localisation des renseignements personnels avant l'automatisation de ce processus seront essentiels pour s'assurer de la conformité aux lois actuelles et futures.

Comment se préparer : Pour connaître ses données, il faut au préalable mettre en Suvre une stratégie de gouvernance de l'information pour repérer les renseignements personnels, élaborer des politiques et des procédures claires de gestion du cycle de vie des données, créer une cartographie des données pour retrouver l'endroit où elles sont stockées, tirer parti des outils technologiques pour mettre en Suvre les politiques et former les employés à la gestion des renseignements personnels.

